Python检查系统可疑用户

2021年9月4日07:13:25评论40 views字数 1297阅读4分19秒阅读模式

最近一台服务器被攻击了，攻击者在服务器上替换了一个系统命令，如ps，ss，netstat，lsof等文件。怎么排查的就不说了。本文的主要目的是写一个检查系统用户的一个脚本，检查哪些系统用户有家目录，哪些用户没有家目录，以及哪些用户可以登录系统。

我们这里的环境有点乱，有的服务器上的web用户可以登录系统，有的系统上却不能登录系统，很是不规范，因此写了这么一个脚本来做检查。接下来，就直接上代码了，主要用到了pwd及spwd模块，比起使用读入/etc/passwd及/etc/shadow文件，然后对其进行处理要方便的多。

# encoding: utf8

# written by lavenliu at 20170211

import pwd

import spwd

sys_users = {}

usr_no_passwd = []

usr_has_passd = []

users_entry = pwd.getpwall()

for entry in users_entry:

sys_users[entry.pw_name] = entry.pw_shell

for username in sys_users.keys():

pass_entry = spwd.getspnam(username)

if pass_entry.sp_pwd == '!!' or pass_entry.sp_pwd == '*':

usr_no_passwd.append(pass_entry.sp_nam)

else:

usr_has_passd.append(pass_entry.sp_nam)

print "These users have home directory:"

for user, home in sys_users.items():

if home == '/sbin/nologin':

continue

else:

print "%15s: %s" % (user, home)

print

print "These users can login system:"

for user in usr_has_passd:

print user

执行结果为：

# python chkuser.py

These users have home directory:

sync: /bin/sync

shutdown: /sbin/shutdown

halt: /sbin/halt

root: /bin/bash

These users can login system:

root

从执行结果看，目前只有root用户可以登录系统。

本文始发于微信公众号（飓风网络安全）：Python检查系统可疑用户

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Python检查系统可疑用户

记一次Druid Monitor漏洞日常渗透

HTB - nocturnal

渗透测试 | 某系统三连shell

2025年LLM应用十大安全风险！OWASP最新指南

election

当心你的 AI！使用 Replit AI 掩盖你的 C2 流量

HTB-CozyHosting 红队靶机三阶渗透思维突破：Cookie伪造+命令注入组合拳

【vulhub】 GoldenEye

MCP带来的新型安全威胁

一次有趣的前端加密对抗分享

发表评论

在线咨询

微信